PFSense en modo bridge y SQUID



  • Hola:

    En el asunto del topic formulo mi pregunta: Necesito montar un pfsense pero sin modificar el direccionamiento LAN de la red de los usuarios para controlar el acceso a Internet de estos, tampoco puedo modificar la IP del router. Tras valorar las distintas posibilidades, he visto que montarlo en modo bridge sería la mejor opción.

    Por otro lado, para controlar el acceso a Internet de los usuarios y he pensado en instalarle el paquete Squid para ello.

    He visto que pfsense en modo bridge no es compatible con Captive Portal, pero ¿con Squid?

    En cualquier caso, ¿alguien puede proponerme alguna solución mejor teniendo en cuenta las restrcciones que les he comentado antes?

    Gracias, un saludo



  • ¡Hola!

    Este tema ya se debatió anteriormente …

    Bridge con PF (Packet Filter) y squid transparente son incompatibles. Incluso si los quieres poner en una máquina a parte con dos tarjetas de red, entre tu LAN y tu pfSense.

    Lo mejor es, a través de reglas, impedir que los usuarios naveguen directamente y configurar el proxy en los navegadores. Hoy en día muchos navegadores buscan al proxy automáticamente ...

    Squid transparente no cumple 100% los estándares de navegación y tampoco permite implementar la validación de usuarios de squid (que igual te puede interesar) ...

    Más información sobre el tema en:

    http://forum.pfsense.org/index.php/topic,7124.msg40478.html#msg40478

    Saludos,

    Josep Pujadas



  • Para controlar el acceso a Internet de los usuarios puedes:

    1. Instalar Squid+SquidGuard en pfSense
    2. Instalar Squid+SquidGuard (o DansGuardian) en un Proxy Server independiente de pfSense
    3. Usar OpenDNS

    Cualquiera de estas opciones, y seguramente otras más que ignoro, funcionan.
    Saludos.

    Miguel Ángel Araujo
    México



  • que tal, realmente soy muy nuevo en este ambito del pfsense llevo 3 semanas tratando con el y su resultado ha sido muy satisfactorio, ahora me gustaria saber como configurar adecuadamente el squidguard, he descargado el package squid  2.6.18.1 y el squid guard 1.2.0_1 y lo que quiero hacer con este es que me bloquee todas las paginas con contenido pornografico, algunos otros sitios como de descargas de audio o video que afecten al ancho de banda. debido a que tengo pensado proporcionar internet inalambrico pero solo para consultas educativas. espero y me puedan ayudar.
    de antemano gracias



  • Hola Josep:

    Creo que no me he explicado bien, o yo no he entendido tu respuesta… :D

    Lo que prentendo es montar un pfsense con dos interfaces, una LAN y una WAN. Quiero configurarlas como una sola (esto se hace con bridge), ¿por qué esta configuración? pues porque no puedo tocar el direccionamiento de la red, por eso lo de hacer el bridge, así le pongo una IP de esa LAN y ya está. La cuestión es: Si instalo un squid en ese pfsense ¿Funcionará?

    Saludos



  • Chock, en lo tuyo no puedo ayudarte demasiado, este es el primer squid que voy a probar y, ni siquiera se si funcionará de la manera en que lo voy a hacer :)

    De todas formas, el menú de configuración de squid es muy sencillo e intuitivo; squidguard no lo conozco…

    En cualquier caso, se lo que bellera te va a decir, que ya lo he visto en otros posts: Si la máquina va a tener mucha carga, monta squid en otra y deja pfsense solo como router.

    Saludos



  • ¡Hola!

    Lo que prentendo es montar un pfsense con dos interfaces, una LAN y una WAN. Quiero configurarlas como una sola (esto se hace con bridge), ¿por qué esta configuración? pues porque no puedo tocar el direccionamiento de la red, por eso lo de hacer el bridge, así le pongo una IP de esa LAN y ya está. La cuestión es: Si instalo un squid en ese pfsense ¿Funcionará?

    pfSense como bridge y squid en modo transparente, no.

    pfSense como bridge y squid "normal", sí.

    pfSense "normal" (como router, no como bridge) con squid en cualquier modo, sí.

    Esto es debido a que un squid transparente precisa enrutamiento. O sea que si en una misma caja pones pfSense como bridge y squid en modo transparente, no puede ser …

    16-abril-2008. Parece que estaba equivocado con lo de bridge+transparente. Véase http://forum.pfsense.org/index.php?topic=8685.msg50309#msg50309. Debe haber algún truco porque lo probé con PF (Packet Filter) y squid en una máquina a parte y no encontré la solución.

    Insisto. En http://forum.pfsense.org/index.php/topic,7124.msg40478.html#msg40478 está más explicado.

    Cuando pones un cortafuegos en tu topología de red es un buen momento para "remodelar" cosas. Yo aproveché para pasar todo a DHCP … Y no fue traumático. Bien al contrario, muy contento de haberlo hecho, http://www.bellera.cat/josep/pfsense/installacio_cs.html#preparartius

    ¿Qué es exactamente lo que no puedes tocar de tu topología de red? ¿Qué topología tienes? Con más datos podremos ver mejor tu problema. Si posteas tu topología, falsea tus IPs, MACs, ... (por seguridad) ...

    Saludos,

    Josep Pujadas



  • ¡Hola!

    he descargado el package squid  2.6.18.1 y el squid guard 1.2.0_1 y lo que quiero hacer con este es que me bloquee todas las paginas con contenido pornografico, algunos otros sitios como de descargas de audio o video que afecten al ancho de banda. debido a que tengo pensado proporcionar internet inalambrico pero solo para consultas educativas.

    Centro educativo -> También es mi caso.

    Para empezar te puede ir bien squid+squidguard integrado en pfSense pero tendrás que terminar con una máquina dedicada a esto.

    En cualquier caso, se lo que bellera te va a decir, que ya lo he visto en otros posts: Si la máquina va a tener mucha carga, monta squid en otra y deja pfsense solo como router.

    Efectivamente, http://forum.pfsense.org/index.php/topic,7124.msg40478.html#msg40478

    Saludos,

    Josep Pujadas



  • Hola de nuevo:

    Ahora sí: "pfSense como bridge y squid "normal", sí." Este es el escenario en el que estaba pensando.

    La razón por la que no puedo tocar direccionamientos es porque, el lugar donde voy a instalarlo es una sede de una empresa , con otras sedes con direccionamientos preestablecidos, y que están interconectadas entre ellas con VPN mediante routers cisco (que gestionan directamente el proveedor de acceso a Internet). Por otro lado tengo un dominio Windows en la LAN y, ya sabes, si tengo que cambiar el direccionamiento LAN incluido al Domain Controller eso es igual a suicidio. A un DC Windows, si le cambias la IP, se va al garete (el dominio).

    D ahí que la opción que me queda es la de bridge (así no toco nada) para controlar el acceso a Internet de los usuarios.

    Crreo que con esto tengo suficiente.

    Ya os cuento



  • Hola,

    Yo tengo una situacion parecida, y creo que te estas complicando mucho, si lo que quieres es que se navegue usando el PFsense con squid, lo puedes dejar como quieras como bridge o router y simplemente configuras el proxy en los PCs y excluyes las IPs de de tu red interna y no tocas nada en tu red, si tienes que hacer esto un muchos PCs en un Dominio, lo puede hacer en forma global por las politicas del dominio esto si usas ie para firefox tienes que hacerlo en cada PC.

    Saludos



  • Pues solo comentaros que la solución de hacer bridge con las dos interfaces + squid (en modo no transparente) funciona perfectamente. Es decir, el servicio de proxy montado de esta manera funciona perfectamente.

    Tan solo tengo un problema con el bridge filtering que os comentaré en otro post específico para este problema.

    Gracias a todos. Saludos


Locked